TLDR

  • Kraken objevil chybu, která uživatelům umožňovala uměle navyšovat své zůstatky a vybírat prostředky bez dokončení vkladů.

  • CertiK, blockchainová bezpečnostní firma, se identifikovala jako „bezpečnostní výzkumník“, který tuto chybu zneužil a vybral téměř 3 miliony dolarů z pokladen Krakenu.

  • Kraken tvrdí, že CertiK odmítl vrátit finanční prostředky, dokud burza neposkytla odhad potenciálních ztrát, a nazval to „vydíráním“.

  • CertiK své kroky hájil tím, že testoval rozsah zranitelnosti a že Kraken svým zaměstnancům pohrozil, že vrátí neodpovídající množství finančních prostředků v nepřiměřené lhůtě.

  • Incident rozpoutal debatu o etice hackingu bílých klobouků a programů odměn za chyby v kryptoměnovém průmyslu.

Kryptoměnová burza Kraken nedávno odhalila, že se stala obětí bezpečnostní zranitelnosti, která uživatelům umožňovala uměle navyšovat zůstatky na účtech a vybírat prostředky, aniž by vklady úplně dokončili. Burza oznámila, že v důsledku zneužití byly z jejích pokladen ukradeny téměř 3 miliony dolarů.

Blockchain bezpečnostní firma CertiK se představila a označila se za „bezpečnostního výzkumníka“ odpovědného za zneužití chyby a stažení finančních prostředků.

Hlavní bezpečnostní důstojník společnosti Kraken Nick Percoco dříve obvinil tehdy nejmenovaný bezpečnostní tým z „vydírání“ za to, že odmítl vrátit finanční prostředky, dokud burza neposkytne odhad potenciálních ztrát, pokud by chyba zůstala neodhalena.

Aktualizace zabezpečení Kraken:

9. června 2024 jsme od bezpečnostního výzkumníka obdrželi upozornění programu Bug Bounty. Původně nebyly zveřejněny žádné podrobnosti, ale jejich e-mail tvrdil, že našel „extrémně kritickou“ chybu, která jim umožnila uměle nafouknout svůj zůstatek na naší platformě.

— Nick Percoco (@c7five) 19. června 2024

CertiK však své kroky hájil a tvrdil, že testoval rozsah zranitelnosti a že Kraken svým zaměstnancům vyhrožoval vrácením neodpovídající částky finančních prostředků v nepřiměřené lhůtě, aniž by uvedl adresu pro splácení.

CertiK nedávno identifikoval řadu kritických zranitelností na burze @krakenfx, které by mohly potenciálně vést ke ztrátám ve stovkách milionů dolarů.

Počínaje nálezem v depozitním systému @krakenfx, kde nemusí rozlišovat mezi různými interními… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 19. června 2024

Bezpečnostní firma poskytla časovou osu událostí s podrobnostmi o jejích interakcích s Krakenem a objevu exploitu.

Podle CertiK tato zranitelnost umožnila vložit miliony dolarů na jakýkoli účet Kraken s možností vybrat a převést vyrobenou kryptoměnu na platné kryptoměny.

Firma také tvrdila, že během jejího vícedenního testovacího období nebyly spuštěny žádné výstrahy a Kraken zareagoval a zamkl testovací účty až několik dní po prvním zveřejnění.

Incident rozpoutal debatu o etice hackování bílých klobouků a účinnosti programů odměn za chyby.

Zatímco někteří tvrdí, že akce CertiK byly oprávněné v zájmu důkladného testování zranitelnosti, jiní se domnívají, že firma překročila hranici tím, že vybrala tak velkou částku peněz a odmítla ji rychle vrátit.

Kraken tvrdí, že akce CertiK nejsou v souladu s principy white hat hackingu a že spolupracuje s donucovacími orgány na získání majetku. Burza také zdůraznila, že zneužití neovlivnilo žádné uživatelské prostředky, protože ukradené peníze pocházely z vlastních pokladen společnosti Kraken.

The post Bug Bounty Gone Wrong: Kraken obviňuje CertiK z vydírání, CertiK brání své činy appeared first on Blockonomi.